「まさか自分が?」Windows 11のサイバー攻撃対策、いますぐ見直すべき5つの設定:Tech TIPS
「自分は怪しいサイトは見ないし、変なメールも開かないから大丈夫」、そう思っていないだろうか? しかし、サイバー攻撃は日々巧妙化しており、ちょっとした油断からターゲットにされてしまう危険性がある。そこで、本Tech TIPSでは、サイバー攻撃からWindows 11を守るために、今すぐ設定すべき5つのセキュリティ術を解説する。
対象:Windows 11
今すぐ設定すべき5つのセキュリティ術「自分は怪しいサイトは見ないし、変なメールも開かないから大丈夫」、そう思っていないだろうか? しかし、サイバー攻撃は日々巧妙化しており、ちょっとした油断から攻撃による被害に遭ってしまう危険性がある。そこで、本Tech TIPSでは、サイバー攻撃からWindows 11を守るために、今すぐ設定すべき5つのセキュリティ術を解説する。なお画面は、「EICAR」のテスト用ウイルスを使って、ウイルスが検知した状態を示したものである。
「自分は怪しいサイトは見ないし、変なメールも開かないから大丈夫」、そう思っていないだろうか?
サイバー攻撃の手口は日々巧妙化しており、あなたのPCは知らないうちにのぞき見されたり、乗っ取られたりするリスクにさらされている可能性がある。特に多くの人が利用しているWindows PCは、攻撃者にとって格好のターゲットになっているからだ。
本Tech TIPSでは、「まさか自分が?」という油断からWindows 11を守るために、今すぐ設定すべき5つのセキュリティ術を解説する。これらの対策は誰でも簡単に実践できるものだ。安心してWindows 11を使うための第一歩を踏み出そう。
【設定その1】強力なパスワードを設定して2段階認証を有効にする
セキュリティ向上の第一歩は、強力なパスワードを設定し、使い回しを止めることだ。生年月日や名前などの推測されやすいパスワードは避けた方がよい。また、複数のWebサイトで同じパスワードを使い回していると、1つのWebサイトでパスワードが漏えいすると、他のWebサイトで悪用される危険性がある(「パスワードリスト攻撃」の標的になる)。サービスごとに異なるパスワードを設定するのが望ましい。
とはいえ、強力なパスワードをサービスごとに設定すると、パスワードを忘れてしまい、だんだんと同じようなものに収束してしまいがちだ。強力でかつサービスごとに異なるパスワードを作る方法は、Tech TIPS「その筋のプロが勧める簡単で強力なパスワードの作り方」で詳しく説明しているので参考にしてほしい。
ポイントは、2つ以上の単語を組み合わせてベースとなるパスワードを作成し、一部を記号や数字に置き換え、サービス名の一部をパスワードに加えることで、10文字以上でかつ記号や数字を組み合わせたパスワードを作成するというものだ。
また、MicrosoftアカウントやGoogleアカウントなどの主要なオンラインサービスでは、パスワードに加えて、スマートフォンのアプリなどを使う「2段階認証」がサポートされている。2段階認証を有効にしておけば、万一パスワードが漏えいして、Webサイトへログインされる危険性が発生した場合でも、スマートフォンへの通知によって不正ログインを未然に防ぐことができる。Microsoftアカウントの2段階認証を有効にする方法は、Tech TIPS「ニコ動アカウント漏えいの可能性を受けて、Microsoftアカウントが不正アクセスされていないか確認する」を参照してほしい。
Microsoftアカウントで2段階認証を有効にする方法(3)[今すぐ取得]ボタンをクリックすると、Android/iOS用の「Microsoft Authenticator」アプリのダウンロードページを開くQRコードが示される。既に「Microsoft Authenticator」アプリをダウンロード済みだったり、別の認証アプリを使っていたりする場合は、[別の認証アプリを設定します。]をクリックする。以下、Microsoftアカウントのサインインによって、「Microsoft Authenticator」アプリに登録する方法を紹介する。QRコードを使って登録する方法は、Tech TIPS「ニコ動アカウント漏えいの可能性を受けて、Microsoftアカウントが不正アクセスされていないか確認する」を参照してほしい。
Microsoftアカウントで2段階認証を有効にする方法(5)「Microsoft Authenticator」アプリに追加するアカウントの種類を選択する。ここでは「個人用アカウント」(Microsoftアカウント)を選択したとして手順を紹介しる。
特にオンラインバンクやオンライン証券、通販サイトなどの金銭に絡むサービスでは、さまざまな手段を用いた不正ログインが試されているので、二重、三重の安全策を実施し、不正ログインを防ぐようにしよう。
Windows 11へのサインインは、顔認証や指紋認証に対応しているPCならば「Windows Hello」を利用するとよい。パスワードを入力する手間が省け、かつ安全にサインインやロックの解除ができるからだ。「設定」アプリの[アカウント]−[サインインオプション]を選択して、「サインインする方法」欄でPCが対応している生体認証方式(「顔認証」や「指紋認証」)をクリックして、指示に従って顔や指紋を登録すればよい。生体認証に対応していない場合でも、「PIN(Personal Identification Number)」を設定しておけば、複雑に設定したパスワードの入力の手間を省くことができる。
ただしWindows 11のPINは、デフォルトで4桁以上の数字のため、盗み見られることで簡単に特定できてしまう危険性がある。PINを4桁の数字に設定している場合は、PINの設定画面で「英字と記号を含める」にチェックを入れて、PINに英字や記号を加えてセキュリティを高めるとよい。
PINを変更するデフォルトでは、PINは4桁以上の数字のため、セキュリティ的に弱い。「設定」アプリの[アカウント]−[サインインオプション]の「PIN(Windows Hello)」を展開して、[PINの変更]ボタンをクリックすると、このダイアログが表示される。ここで「英字と記号を含める」にチェックを入れて、PINに英字や記号を加えると、PINの複雑性が増し、簡単に突破できなくなる。
【設定その2】Microsoft Defenderを最新に保つ
Windows 11には「Microsoft Defender」と呼ばれるセキュリティ対策ソフトウェアが標準で搭載されている。サードパーティー製のウイルス対策ソフトウェアをインストールしなくても、正しく活用することでマルウェアやウイルスといった多くの脅威からWindows 11を守ることができる。
ただし、最新の状態に保たれていることが重要である。Windows Defenderは、Windows Updateを介して「セキュリティインテリジェンス更新プログラム」を定期的にダウンロードして、マルウェアを検知するための情報を更新している。
またMicrosoft Defender本体も、Windows Update経由でダウンロードされる製品の更新プログラムによって更新されている。これにより、マルウェアを検知するためのエンジンを更新して精度を高めたり、機能を強化したりしている。
そのため、Windows Updateの「更新の一時停止」機能を使って、更新プログラムの適用を停止していると、「セキュリティインテリジェンス更新プログラム」もダウンロードされず、Microsoft Defender本体も更新されなくなる。結果として、マルウェアの攻撃が検知できない可能性が高まってしまう。
Windows UpdateでWindows Defenderの更新プログラムを適用するWindows Defenderのマルウェアを検知するための情報は、Windows Updateを介して配信されている。定期的に更新しないと、マルウェアが正しく検知できなくなるため、攻撃のリスクが増すことになる。更新プログラムによる不具合などで、「更新の一時停止」機能を使って更新プログラムの適用を停止している場合は、Windows Defenderの情報も更新されないので注意が必要だ。
Windows 11のセキュリティを保つためには、更新プログラムを適用し、常に最新の状態を保つ必要があるわけだ。
また、定期的にフルスキャンによるウイルスチェックを実行しておくと安心だ。Microsoft Defenderは、リアルタイムのウイルスチェックの他、定期的なウイルスチェックもバックグラウンドで実施している。ただしそれは網羅的ではなく、システムフォルダなどのリスクが高いフォルダのみをチェックする「クイックスキャン」が実行されるのみである。最低でも月に1回は、ディスク内の全てのファイルと実行中のプログラムをチェックする「フルスキャン」を実行しておくと安心だ。
「フルスキャン」は、「Windowsセキュリティ」アプリの「ウイルスと脅威の防止」画面を開き、[スキャンのオプション]をクリック、「スキャンのオプション」画面で「フルスキャン」を選択してから、[今すぐスキャン]ボタンをクリックすると実行できる。PCの性能やディスク容量にも依存するが、スキャンが終了するまで1時間以上かかる。その間、Windows 11を利用することは可能だが、PCのレスポンスが悪くなるので注意してほしい。
フルスキャンのウイルスチェックを実行する(1)Windows Defenderウイルス対策では、定期的にバックグラウンドでウイルスチェックが実行されている。ただしウイルスチェックは、危険性の高いフォルダのみを対象としているため、チェックが漏れている可能性がある。そこで、定期的に手動でフルスキャンを実行するとよい。それには、「Windowsセキュリティ」アプリを起動し、「ウイルスと脅威の防止」をクリックする。
フルスキャンのウイルスチェックを実行する(2)「ウイルスと脅威の防止」画面が開いたら、「脅威」が見つかっていないことを確認しておくとよい。フルスキャンを実行するには、[スキャンのオプション]をクリックする。
手動でのフルスキャンが面倒なら、タスクスケジューラで自動化するとよいだろう。詳しくはTech TIPS「Windows Defenderによるウイルスチェックをより完全に自動実行する方法【Windows 10/11】」を参照していただきたい。
【設定その3】アプリの設定を見直してカメラやマイクなどを勝手に使わせないようにする
知らないうちにアプリがカメラやマイクを起動して、盗撮や盗聴をしている、というのはテレビドラマの世界だけではないかもしれない。プライバシーの設定を見直して、必要のないアプリがカメラやマイクを利用できないようにしよう。
Windows 11の「設定」アプリを起動し、[プライバシーとセキュリティ]を選択して、「プライバシーとセキュリティ」画面を開く。ここの「アプリのアクセス許可」欄にある[カメラ]をクリックして、「カメラ」画面を開く。ここで、カメラへのアクセスを許可しているアプリの一覧が確認できるので、カメラが必要のないアプリに許可が与えてあった場合は、スイッチを「オフ」にする。
アプリのアクセス許可を確認する(1)「設定」アプリの「プライバシーとセキュリティ」画面を開き、「アプリのアクセス許可」欄の「位置情報」「カメラ」「マイク」のアクセス許可を確認する。カメラのアクセス許可を確認するため、「カメラ」をクリックする。
アプリのアクセス許可を確認する(2)「アプリにカメラのアクセスを許可する」欄にカメラに対してアクセスを許可しているアプリが表示される。ここでカメラを利用しないもの(してほしくないもの)があった場合は、スイッチを「オフ」にする。「位置情報」と「マイク」についても同様に設定する。
特に「デスクトップアプリがカメラにアクセスできるようにする」欄には、以前にカメラにアクセスしたことのあるデスクトップアプリが表示されているので、ここにカメラが不要なアプリが含まれていないかどうか確認する。
もし、カメラが不要なアプリが含まれていた場合は、「デスクトップアプリがカメラにアクセスできるようにする」欄のスイッチを「オフ」にして、全デスクトップアプリのカメラへのアクセスを停止する。この欄のアクセス許可は、アプリごとに「オン」「オフ」できないので一括で停止するしかない。
一括で停止するため、当然ながらオンラインミーティングアプリなど、カメラが必要となるアプリのカメラへのアクセスも停止されてしまう。カメラが必要なアプリでは起動時にカメラへのアクセスが求められるので、その都度、許可を与えるようにするしかないだろう。
同様に「マイク」や「位置情報」に対しても、不要なアクセス許可を停止しておく。
また、「設定」アプリの[アプリ]−[スタートアップ]を選択して、「スタートアップ」画面を開き、サインイン時に開始されるアプリも確認しておこう。バックグラウンドでアプリが起動し続けるのを防ぐことで、プライバシー保護に加えて、Windows 11の動作を軽くできるメリットがある。
スタートアップアプリを整理する「設定」アプリの「アプリ」-「スタートアップ」画面を開き、サインイン後に自動で自動するアプリ(スタートアップアプリ)を確認しよう。ここで自動起動が不要なものがあれば、スイッチを「オフ」にしておくとよい。
【設定その4】ネットワークプロファイルとファイアウォールの設定を見直す
カフェやホテルなど無線LAN(Wi-Fi)が利用できるところも多い。しかし、こうした場所での無線LANの利用は、便利な半面、セキュリティ上のリスクも潜んでいる。セキュリティの設定が甘いと、第三者が外部から共有フォルダなどに侵入してしまう危険性があるのだ。
そこで公衆無線LANに接続したら、必ずネットワークプロファイルを「パブリックネットワーク」に設定すること。これにより、外部からの不正な接続やWindows 11の共有フォルダへのアクセスを防ぐことができる。
ネットワークプロファイルを変更する無線LANに接続したら「設定」アプリの「ネットワークとインターネット」画面を開き、その上部に表示される接続中の無線LANの[プロパティ]をクリックして「<SSID>のプロパティ」画面を開き、「ネットワークプロファイルの種類」を「パブリックネットワーク」に変更する。組織内で利用する場合でも、他のPCからこのPCへ接続する必要がなければ「パブリックネットワーク」に設定しておくのが安全だ。
また、Windows 11のファイアウォールは、外部からの不正な通信をブロックする重要な機能なので、必ず有効にしておく。「Windowsセキュリティ」アプリを起動し、[ファイアウォールとネットワーク保護]を選択、「ドメインネットワーク」「プライベートネットワーク」「パブリックネットワーク」の全てでファイアウォールが有効になっていることを確認する。
もし、無効になっていた場合は、その項目の[オンにする]ボタンをクリックしてファイアウォールを有効にする。
ファイアウォールを有効にしておくデフォルトでファイアウォールは、「ドメインネットワーク」「プライベートネットワーク」「パブリックネットワーク」の全てで「オン(有効)」になっているはずだ。念のため、「Windowsセキュリティ」アプリを起動し、[ファイアウォールとネットワーク保護]を選択、「ドメインネットワーク」「プライベートネットワーク」「パブリックネットワーク」の全てでファイアウォールが有効になっていることを確認しよう。もし、無効になっていた場合は、その項目の[オンにする]ボタンをクリックしてファイアウォールを有効にする。
【設定その5】席を離れるときはWindows 11を必ずロックする
離席中に画面をのぞき見されたり、勝手に操作されたりするリスクを防ぐために、Windows 11の「ロック」を習慣化しておくのも重要だ。「社内の人間も疑うの?」という気持ちがあるかもしれないが、習慣化しておくと、外出先でのちょっとした離席の際にも、無意識にWindows 11を「ロック」するようになり、セキュリティが確保できるようになるからだ。
Windows 11を手動でロックするには、[Windows]+[L]キーを押すだけなので、それほど面倒なものではなく、習慣化しやすい。
席を離れるときはWindows 11を必ずロックする席を離れる場合は、[Windows]+[L]キーを押してロックしておくとよい。ロックを解除するには、PINやパスワードなどの認証が必要になるため、他人が悪用するリスクを低減できる。
[Windows]+[L]キーを押すのが面倒な場合は、スマートフォンと連携して、席を離れると自動的にロックされる「動的ロック」を有効にするという方法もある。Windows 11とスマートフォンを連携後、「設定」アプリの[アカウント]−[サインインオプション]を選択して、「動的ロック」欄の「その場にいないときに……」にチェックを入れればよい。ただし、「自動ロック」は席をかなり離れてからしばらくしないとロックされないので、手動によるロックよりもセキュリティ面で劣るので注意してほしい。
動的ロックを有効にするWindows 11ではスマートフォンと連携して、席を離れると自動的にロックがかかる「動的ロック」がサポートされている。「設定」アプリの「アカウント」-「サインインオプション」画面を開き、「動的ロック」を展開、「その場にいないときに……」にチェックを入れて、スマートフォンと連携すれば有効にできる。
ここで紹介した5つのセキュリティ術は、Windows 11をサイバー攻撃の脅威から守るための最低限ながら効果的な対策だ。いずれもほんの数分で設定できるものばかりである。「自分は大丈夫」という根拠のない自信を捨てて、今日からこれらの設定を見直して、安全にWindows 11を活用しよう。
Copyright© Digital Advantage Corp. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。